เตือนช่องโหว่ PHP รันบน NGINX Server เสี่ยงถูกแฮ็กเว็บไซต์ได้

Andrew Danau และทีมนักวิจัยด้านความมั่นคงปลอดภัย Wallarm ได้ออกมาแจ้งเตือนถึงช่องโหว่ Remote Code Execution บนเว็บไซต์ PHP ที่เปิดใช้ฟีเจอร์ PHP-FPM และรันบน NGINX Server เสี่ยงถูกแฮ็กเกอร์ลอบรันคำสั่งแปลกปลอมจากระยะไกลได้ เริ่มพบเห็นรายงานการโจมตีผ่านช่องโหว่นี้แล้ว

Credit: Maxim Maksutov/ShutterStock

ช่องโหว่ดังกล่าวมีรหัส CVE-2019-11043 ถูกค้นพบขณะที่ Danau และทีมนักวิจัยกำลังแข่งขัน Capture the Flag เป็นช่องโหว่บนฟีเจอร์ PHP-FPM (FastCGI Process Manager) ที่ช่วยเพิ่มประสิทธิภาพในการประมวลผลสคริปต์ภาษา PHP ให้ดียิ่งขึ้น สาเหตุหลักของช่องโหว่นี้อยู่ที่ “env_path_info” ซึ่งก่อให้เกิดปัญหา Memory Corruption เมื่อรวมช่องโหว่นี้เข้าด้วยกันกับปัญหาอื่นๆ จะช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Remote Code Execution บน Web Server ที่ใช้ NGINX ได้

ช่องโหว่นี้ส่งผลกระทบบนเว็บไซต์ PHP ที่รันบน NGINX Server และมีการเปิดใช้ฟีเจอร์ PHP-FPM เท่านั้น ถึงแม้ว่า PHP-FPM จะไม่ใช่โมดูลมาตรฐานที่ติดตั้งใช้งานบน NGINX แต่ก็มีผู้ให้บริการ Web Hosting หลายรายที่เปิดใช้ฟีเจอร์ดังกล่าวเพื่อเพิ่มประสิทธิภาพการใช้ PHP

การโจมตีผ่านช่องโหว่นี้นับว่าไม่ยากนัก และมี PoC Exploit Code ถูกเผยแพร่เป็นที่เรียบร้อยผ่านทาง GitHub และพบรายงานการโจมตีผ่านช่องโหว่ดังกล่าวให้เห็นบ้างแล้ว แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์เป็น PHP 7.3.11 หรือ 7.2.24 เพื่ออุดช่องโหว่โดยเร็ว

รายละเอียดเชิงเทคนิค: https://lab.wallarm.com/php-remote-code-execution-0-day-discovered-in-real-world-ctf-exercise/

ที่มา: https://thehackernews.com/2019/10/nginx-php-fpm-hacking.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เผยกลเม็ด Phishing ใหม่ของคนร้ายกับบริการ Citibank

MalwareHunter ได้เปิดเผยมุขใหม่ของคนร้ายที่ทำ Phishing หวังเล่นงานเหยื่อที่ใช้บริการของ Citibank ดังนั้นเป็นหน้าที่ของเราที่ต้องติดตามพฤติกรรมเช่นนี้ให้ไม่ตกเป็นเหยื่อครับ

นักวิจัยตั้ง Honeypot จำลองระบบในอุตสาหกรรมเพื่อศึกษาการโจมตีจริง

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ได้ตั้ง Honeypot ปลอมเป็นองค์กรภาคอุตสาหกรรมที่ใช้ระบบ เช่น ICS, PLC และอื่นๆ โดยผลลัพธ์ชี้ว่าผู้ดูแลระบบมีความเสี่ยงจากคนร้ายทั่วไปที่หวังผลทางการเงินมากกว่ากลุ่มแฮ็กเกอร์ระดับชาติ